ProxyBlob 是 Quarkslab 推出的一款开源工具,可通过 Azure Blob 存储创建 SOCKS5 代理隧道。它专为受限环境而设计,在这些环境中,出站连接仅限于受信任的云服务,例如*.blob.core.windows.net
威胁运营者或渗透测试人员会在目标网络内部部署一个轻量级代理,并在本地计算机上部署一个代理服务器。他们通过写入和读取 blob 进行通信,有效地通过 Azure 的对象存储服务隐秘地传输 TCP 和 UDP 流量。
核心功能
-
完全支持 SOCKS5,包括 CONNECT、UDP ASSOCIATE、IPv6
-
默认使用 ChaCha20-Poly1305 加密数据通道
-
本地代理服务器,无需入站侦听器
-
与 Azure Blob 和 Azurite 兼容,可进行本地测试
真实用例
1. 红队隐蔽访问
在“假定违规”评估中,Quarkslab 发现允许从内部受限的上下文进行出站 Azure Blob 访问。通过部署 ProxyBlob,攻击者可以秘密地建立远程桌面会话隧道,从而绕过传统的防火墙限制。
2. 逃避测试环境
安全团队使用 ProxyBlob 来验证受感染主机如何轻易地通过诸如 之类的受认可服务窃取数据azureblobstorage。它凸显了零信任和内部流量分段方面的差距。
3. 使用 Azurite 进行本地测试
开发人员和审计人员可以使用 Microsoft 的开源存储模拟器 Azurite 在本地运行 ProxyBlob。这为红蓝团队的安全概念验证测试提供了支持。
性能和限制
ProxyBlob 不是高速仪器;它在测试中实现了跨区域约 1.5 Mbps 的传输,这个阈值足以满足内部网络内的文件传输、交互式 shell 会话或 RDP 的需求。
工作负载优化涉及选择最靠近代理和代理服务器的存储位置以减少延迟。
项目地址:
https://github.com/quarkslab/proxyblob
原文始发于微信公众号(Ots安全):ProxyBlob – 通过 Azure Blob 存储实现隐蔽网络隧道的 SOCKS5
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论